Данная процедура предназначена для настройки шаблона сертификата, который используется в службах сертификации Active Directory® в качестве основы для сертификатов сервера, передаваемых серверам, на которых выполняется сервер политики сети.
Минимальным требованием для выполнения данной процедуры является одновременное членство в группе Enterprise Admins и группе корневого домена Domain Admins.
Чтобы настроить шаблон сертификата и автоматическую подачу заявок |
-
На компьютере, где установлены службы сертификации Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите mmc и нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку. Будет открыто диалоговое окно Добавить или удалить оснастку,
-
В списке Доступные оснастки дважды щелкните значение Центр сертификации. Выберите центры сертификации для управления и нажмите кнопку Готово. Диалоговое окно Центр сертификации закроется, будет выполнен возврат к диалоговому окну Добавить или удалить оснастку.
-
В окне Доступные оснастки дважды щелкните значение Шаблоны сертификатов, а затем нажмите кнопку ОК.
-
В дереве консоли разверните узел Шаблоны сертификатов. В области сведений будут выведены все шаблоны сертификатов.
-
В области сведений щелкните шаблон RAS и IAS-сервер.
-
В меню Действие выберите команду Скопировать шаблон. В диалоговом окне Скопировать шаблон выберите версию шаблона, соответствующую среде, а затем нажмите кнопку ОК. Будет открыто диалоговое окно свойств нового шаблона.
-
На вкладке Общие в поле Выводимое имя введите новое имя для шаблона сертификата или примите имя, предложенное по умолчанию.
-
Перейдите на вкладку Безопасность . В разделе Имена групп или пользователей выберите команду Серверы RAS и IAS.
-
В окне Разрешения для RAS и IAS-серверов в разделе Разрешить установите флажки разрешений Заявка и Автоматическая подача заявок, а затем нажмите кнопку ОК.
-
Дважды щелкните компонент Центр сертификации, дважды щелкните имя центра сертификации, а затем выберите команду Шаблоны сертификатов. В меню Действие наведите указатель мыши на пункт Создать, а затем выберите пункт Выдаваемый шаблон сертификата. Открывается диалоговое окно Включение шаблонов сертификатов.
-
В окне Включение шаблонов сертификатов щелкните имя только что настроенного шаблона сертификата, а затем нажмите кнопку ОК. Например, если предложенное по умолчанию имя шаблона сертификата не изменялось, выберите значение Копия RAS и IAS-сервера, а затем нажмите кнопку ОК.
-
На компьютере, где установлены доменные службы Active Directory, нажмите кнопку Пуск, выберите пункт Выполнить, введите команду mmc и нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку. Открывается диалоговое окно Добавление и удаление оснастки.
-
В списке Доступные оснастки дважды щелкните элемент Редактор управления групповыми политиками. Откроется окно мастера Выбор объекта групповой политики. Нажмите кнопку Обзор и выберите пункт Политика домена по умолчанию. Нажмите кнопку ОК, нажмите кнопку Готово, а затем еще раз нажмите кнопку ОК.
-
Дважды щелкните Политика домена по умолчанию. Последовательно откройте разделы Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности и выберите пункт Политики открытого ключа.
-
В области сведений дважды щелкните элемент Клиент служб сертификации: автоматическая регистрация. Открывается диалоговое окно Клиент служб сертификации: свойства автоматической регистрации.
-
В диалоговом окне Клиент служб сертификации: свойства автоматической регистрации в поле Модель конфигурации выберите значение Включено.
-
Установите флажок Обновлять просроченные сертификаты, обрабатывать поданные запросы на сертификаты и удалять отозванные сертификаты.
-
Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.
Дополнительные сведения
По завершении данной процедуры серверы, на которых выполняется сервер политики сети, будут автоматически запрашивать сертификат сервера при обновлении групповой политики. Чтобы обновить групповую политику, перезапустите сервер или выполните средство командной строки gpupdate.